Jest to robak internetowy rozprzestrzeniający się jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 21 KB (kompresja UPX, rozmiar po rozpakowaniu - około 40 KB).

Instalacja

Po uruchomieniu robak wyświetla fałszywy komunikat o wystąpieniu błędu:

The file could not be opened.

Następnie kopiuje się z nazwą services.exe do folderu Windows i tworzy w rejestrze systemowym klucz auto-run:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun]
"service" = "%windir%services.exe -serv"

W celu oznaczenia zainfekowanego komputera robak tworzy w pamięci unikatowy identyfikator AdmSkynetJklS003.

Szkodnik tworzy własne kopie na dyskach od C: do Z: w folderach, których nazwy zawierają słowo share lub sharing. Nazwy kopii są wybierane z poniższej listy:

• winxp_crack.exe
• dolly_buster.jpg.pif
• strippoker.exe
• photoshop 9 crack.exe
• matrix.scr
• porno.scr
• angels.pif
• hardcore porn.jpg.exe
• office_crack.exe
• serial.txt.exe
• cool screensaver.scr
• eminem - lick my pussy.mp3.pif
• nero.7.exe
• virii.scr
• e-book.archive.doc.exe
• max payne 2.crack.exe
• how to hack.doc.exe
• programming basics.doc.exe
• e.book.doc.exe
• win longhorn.doc.exe
• dictionary.doc.exe
• rfc compilation.doc.exe
• sex sex sex sex.doc.exe
• doom2.doc.pif

Dodatkowo robak tworzy własne kopie w formacie ZIP. Ich nazwy wybierane są z poniższej listy:

• document
• msg
• doc
• talk
• message
• creditcard
• details
• attachment
• me
• stuff
• posting
• textfile
• concert
• information
• note
• bill
• swimmingpool
• product
• topseller
• ps
• shower
• aboutyou
• nomoney
• found
• story
• mails
• website
• friend
• jokes
• location
• final
• release
• dinner
• ranking
• object
• mail2
• part2
• disco
• party
• misc
• #n#o#t#n#e#t#s#k#y#-#s#k#y#n#e#t#!

Rozprzestrzenianie

Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia:

• ADB
• ASP
• DBX
• DOC
• EML
• HTM
• HTML
• MSG
• OFT
• PHP
• PL
• RTF
• SHT
• TBB
• TXT
• UIN
• VBS
• WAB

W celu wysyłania zainfekowanych wiadomości e-mail szkodnik wykorzystuje własny silnik SMTP.

Zainfekowane wiadomości mogą posiadać różne pola wybierane z poniższych list:

• Temat:
  • Hi
  • hi
  • hello
  • read it immediately
  • something for you
  • warning
  • information
  • stolen
  • fake
  • unknown

• Treść:
  • anythingOk?
  • anything ok?
  • what does it mean?
  • ok
  • i'm waiting
  • read the details.
  • here is the document.
  • read it immediately!
  • my hero
  • here
  • is that true?
  • is that your name?
  • is that your account?
  • i wait for a reply!
  • is that from you?
  • you are a bad writer
  • I have your password!
  • something about you!
  • kill the writer of this document!
  • i hope it is not true!
  • your name is wrong
  • i found this document about you
  • yes, really?
  • that is bad
  • here it is
  • see you
  • greetings
  • stuff about you?
  • something is going wrong!
  • information about you
  • about me
  • from the chatter
  • here, the serials
  • here, the introduction
  • here, the cheats
  • that's funny
  • do you?
  • reply
  • take it easy
  • why?
  • thats wrong
  • misc
  • you earn money
  • you feel the same
  • you try to steal
  • you are bad
  • something is going wrong
  • something is fool

Usuwanie robaka Mydoom

Dodatkową funkcją szkodnika jest usuwanie z systemu robaka Mydoom. W tym celu Moodown.b szuka kluczy Explorer oraz Taskmon w następujących gałęziach rejestru:

• HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
• HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun

i usuwa klucz:

HKCRCLSID
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
InProcServer32